中国联通内网Linux系统安全配置指南 (试行) 2009-07-24发布 2009-07-24实施
中国联通公司发布
中国联通内网Linux系统安全配置指南
目 录
前 言.............................................................................................................................................. II
1 范围 ................................................................................................................................... 1 2 定义与缩略语 ................................................................................................................... 1
2.1 缩略语 ................................................................................................................... 1 3 安全配置要求 ................................................................................................................... 1
3.1 权限与审计功能配置 ........................................................................................... 1 3.1.1 用户帐号设置 ................................................................................................... 1 3.1.2 用户组设置 ....................................................................................................... 1 3.1.3 所有用户审计 ................................................................................................... 1 3.1.4 Root用户远程登录限制 .................................................................................. 2 3.1.5 passwd shadow group文件安全性 ................................................................... 2 3.1.6 是否存在除root之外UID为0的用户 ......................................................... 2 3.1.7 用户环境变量的安全性 ................................................................................... 2 3.1.8 远程连接的安全性配置 ................................................................................... 3 3.1.9 用户的umask安全配置 .................................................................................. 3 3.2 文件系统 ............................................................................................................... 3 3.2.1. 重要目录和文件的权限设置 ........................................................................... 3 3.2.2. 查找未授权的SUID/SGID文件 ..................................................................... 3 3.2.3. 查找没有包含粘性位的任何人都有写权限的目录 ....................................... 4 3.2.4. 查找任何人都有写权限的文件 ....................................................................... 4 3.2.5. 没有属主的文件 ............................................................................................... 4 3.2.6. 异常隐含文件 ................................................................................................... 4 3.3 网络与服务 ........................................................................................................... 5 3.3.1. 检查xinetd中基本网络服务配置 ................................................................... 5 3.3.2. 只在必需NFS时,才开启NFS ..................................................................... 5 3.3.3. 常规网络服务 ................................................................................................... 5 3.4 日志审计 ............................................................................................................... 6 3.4.1. at/cron任务授权 ............................................................................................... 6 3.4.2. 登录事件记录 ................................................................................................... 6 3.4.3. syslog.conf配置 ............................................................................................... 6 3.5 系统文件 ............................................................................................................... 6 3.5.1. 系统磁盘状态 ................................................................................................... 6 3.5.2. core dump状态 ................................................................................................. 6 4 评审与修订 ....................................................................................................................... 6
I
中国联通内网Linux系统安全配置指南
前 言
为确保中国联通信息系统的网络支撑和内网信息安全,指导各省级分公司做好基于Linux系统的安全维护相关工作,在研究国际先进企业最佳实践的基础上,结合中国联通内网信息安全现状和实际需求,特制定本配置指南。
本文档由中国联合网络通信有限公司管理信息系统部提出并归口管理。 本文档起草单位:中国联合网络通信有限公司、系统集成公司。 本文档主要起草人:胡松,栾文魁。
本文档解释单位:中国联合网络通信有限公司管理信息系统部。
II
中国联通内网Linux系统安全配置指南
1 范围
本指南规定了中国联通范围内安装有Linux系统的服务器应当遵循的操作系统安全性设置标准,本指南旨在指导系统管理人员进行Linux系统的安全配置。
本指南适用版本:Linux系统
本指南的适用范围为中国联通集团总部、各直属单位、各省级分公司。 2
定义与缩略语
2.1 缩略语
下列缩略语适用于本指南:
术语及缩写 NFS
3
安全配置要求
英文
Network File System
中文
网络文件系统
3.1 权限与审计功能配置
3.1.1 用户帐号设置 配置项名称 用户帐号设置 1、执行:more /etc/passwd 查看是否存在以下可能无用的帐号: uucp nuucp lpd guest printq 同时检查是否对所有用户授予了合理的home目录。 2、执行:ls –l /etc/passwd 检查 /etc/passwd文件属性设置是否为 644 建议删除所有无用的帐号 给相关文件配置合理的权限,配置口令文件属性,执行: $ chmod 644 /etc/passwd $# chmod 600 /etc/group 用户组设置 用户组设置 1、执行:more /etc/group 检查用户组的设置情况,查看是否存在以下可能无用的用户组: uucp printq 2、执行:ls -l /etc/group 检查 /etc/group文件属性设置是否为 644 1、建议删除不必要的用户组 2、为用户组文件配置安全属性,执行: $chmod 700 /etc/group 所有用户审计 审计功能是否对所有用户都有效 1
操作步骤 安全建议 备 注 3.1.2 配置项名称 操作步骤 安全建议 备 注 3.1.3 配置项名称 中国联通内网Linux系统安全配置指南
操作步骤 调用SAM,执行:/usr/bin/sam 选择:Auditing and Security 选择:Users 查看审计功能是否对所有的用户都有效。如果不是,检查审计功能无效的用户账号。 系统所有用户的审计功能都应被开启(在“Login Audited”一栏中显示“NO”则表示该用户未被有效审计) 系统默认会审计所有用户,但是单独某个用户的审计功能可以被禁用 Root用户远程登录限制 Root用户远程登录限制 执行:more /etc/securetty 检查是否有下列参数 Console 禁止root用户直接登录系统 禁止root用户直接登录系统可以增加系统入侵的难度。 passwd shadow group文件安全性 passwd group文件安全性配置 1、执行:ls –l /etc/passwd /etc/shadow /etc/group, 查看文件权限状态 2、执行:grep ^+: /etc/passwd /etc/shadow /etc/group,查看文件中是否包含”+”。返回值应为空 更改文件权限,执行chmod o-w /etc/passwd /etc/shadow /etc/group 删除文件中的”+”条目 有”+”条目的文件允许通过NIS Map中系统配置的某些点插入数据,passwd shadow group文件中如包含此条目,可能会使入侵者通过网络添加用户。 是否存在除root之外UID为0的用户 检查是否存在除root之外UID为0的用户 执行:awk -F: '($3 == 0) { print $1 }' /etc/passwd 返回值应只有root 保证只有root用户的UID为0 UID为0的任何用户都拥有系统的最高特权 用户环境变量的安全性 root用户环境变量的安全性 执行:echo $PATH | egrep '(^|:)(\\.|:|$)',检查是否包含父目录, 执行:find `echo $PATH | tr ':' ' '` -type d \\( -perm -002 -o -perm -020 \\) -ls,检查是否包含组目录权限为777的目录 确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录。 可能某些应用需要目录提供777权限 安全建议 备注
3.1.4 配置项名称 操作步骤 安全建议 备 注 3.1.5 配置项名称 操作步骤 安全建议 备 注
3.1.6 配置项名称 操作步骤 安全建议 备 注
3.1.7 配置项名称 操作步骤 安全建议 备 注 2
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库Linux系统安全配置指南(基线)在线全文阅读。
相关推荐: